패스워드리스 인증 (r1)

FIDO는 Fast IDentity Online의 약자로, 암호 의존성을 줄이고 공개키 암호 방식을 기반으로 한 강력한 인증을 제공하기 위해 설계된 개방형 산업 표준이다. FIDO 인증의 핵심은 사용자의 개인키가 로컬 장치(예: 스마트폰, 보안 키)에 안전하게 저장되고 절대 외부로 유출되지 않으며, 서버에는 공개키만 저장된다는 점이다. 이는 전통적인 암호 기반 인증의 근본적인 취약점인 중앙 서버의 자격 증명 데이터베이스 해킹 위험을 제거한다.

FIDO 표준의 대표적인 구현체가 패스키이다. 패스키는 사용자 이름과 암호 없이 생체 인증(지문, 얼굴 인식)이나 PIN을 이용해 웹사이트나 애플리케이션에 로그인할 수 있게 하는 디지털 자격 증명이다. 이 자격 증명은 사용자의 장치와 클라우드 계정(예: 애플, 구글, 마이크로소프트의 생태계) 간에 동기화되어 여러 기기에서 사용할 수 있도록 설계되었다. 사용자가 패스키로 로그인을 시도하면, 장치는 저장된 개인키로 서버의 챌린지에 서명하여 응답함으로써 신원을 증명한다.

FIDO/패스키의 작동은 크게 등록과 인증 두 단계로 나뉜다. 등록 시 사용자의 장치는 새로운 공개키-개인키 쌍을 생성하고, 해당 사이트에 공개키를 등록한다. 이후 인증 시, 사이트는 챌린지를 보내고 사용자는 로컬 장치에서 생체 정보나 PIN으로 인증한 후 개인키로 이 챌린지에 서명하여 반환한다. 서버는 미리 등록된 공개키로 이 서명을 검증하여 로그인을 승인한다. 이 과정은 W3C의 WebAuthn 표준을 통해 웹 브라우저와 운영체제에서 구현된다.

FIDO/패스키 방식은 피싱 공격에 특히 강력한 저항성을 보인다. 인증 요청이 정확히 의도된 웹사이트(도메인)에서 왔는지 검증하기 때문에, 가짜 사이트로 유도하여 암호를 훔치는 전통적인 피싱 공격이 통하지 않는다. 또한 암호 재사용, 사전 공격, 중간자 공격 등의 위험을 현저히 낮춘다. 이러한 보안성과 편의성으로 인해 주요 IT 기업과 금융 기관을 중심으로 패스키의 도입이 확대되고 있다.

매직 링크는 사용자가 인증을 요청하면 서비스 제공자가 해당 사용자의 등록된 이메일 주소로 일회용 로그인 링크가 포함된 메일을 발송하는 방식이다. 사용자는 이메일을 확인하여 링크를 클릭하기만 하면 별도의 암호 입력 없이 서비스에 로그인할 수 있다. 이 링크는 매우 짧은 유효 시간을 가지며, 일단 사용되면 더 이상 유효하지 않게 되어 보안을 유지한다. 이 방식은 사용자에게 암호를 기억하거나 입력할 필요가 없어 편리성을 제공하며, 특히 비기술적 사용자나 일회성 접근이 필요한 경우에 유용하다.

이메일 OTP 방식은 매직 링크와 유사하게 이메일을 전송 채널로 사용하지만, 내용이 링크가 아닌 숫자로 구성된 일회용 패스워드라는 점에서 차이가 있다. 사용자는 로그인 화면에서 자신의 아이디(일반적으로 이메일 주소)만 입력하면, 서버는 해당 이메일로 6자리 또는 8자리 등의 OTP 코드를 발송한다. 사용자는 이메일을 열어 확인한 코드를 로그인 화면에 다시 입력하여 인증을 완료한다. 이 방식은 SMS를 통한 OTP 전송과 원리는 동일하지만, 스미싱이나 SIM 스왑 공격에 취약한 휴대전화 번호 대신 이메일 계정을 신뢰 기반으로 활용한다는 특징이 있다.

두 방식 모두 사용자의 이메일 계정 보안에 전체 인증 과정의 안전성이 의존한다는 공통된 보안 모델을 가진다. 따라서 공격자가 대상의 이메일 계정을 탈취한다면, 해당 이메일로 연결된 모든 서비스의 인증도 무력화될 수 있는 위험이 존재한다. 또한, 사용자가 매번 이메일 클라이언트를 확인하고 링크를 클릭하거나 코드를 복사-붙여넣기해야 하는 과정에서 사용자 경험이 다소 간헐적으로 끊길 수 있다는 단점도 있다. 그럼에도 불구하고, 암호 기반 인증의 문제점을 해결하고 사용자 등록 절차를 간소화하는 데 효과적인 수단으로 널리 활용되고 있다.

SMS/앱 푸시 인증은 사용자의 등록된 휴대전화를 신원 확인의 매개체로 활용하는 패스워드리스 인증 방식이다. 사용자는 아이디와 패스워드를 입력하는 대신, 서버로부터 수신한 일회용 인증 코드(OTP)를 SMS 문자 메시지로 확인하여 입력하거나, 인증 요청 푸시 알림을 스마트폰 앱에서 승인하는 방식으로 로그인을 완료한다. 이 방식은 사용자가 별도의 하드웨어 토큰을 소지할 필요 없이 이미 보편화된 휴대전화를 인증 수단으로 사용한다는 점에서 접근성이 높다.

SMS OTP 방식은 서버가 생성한 임의의 숫자 코드를 사용자 휴대전화 번호로 발송하고, 사용자가 해당 코드를 로그인 화면에 입력하여 인증하는 절차를 따른다. 반면, 앱 푸시 인증은 Google Authenticator나 은행 앱과 같은 전용 인증 애플리케이션을 통해 서버의 인증 요청이 푸시 형태로 전달되면, 사용자가 앱 내에서 요청을 확인하고 '승인' 버튼을 탭하는 간단한 조작으로 인증을 처리한다. 후자는 사용자가 코드를 직접 입력할 필요가 없어 편의성이 더욱 높은 편이다.

이러한 방식들은 피싱 공격에 어느 정도 저항성을 가지는데, 공격자가 사용자의 아이디와 패스워드를 획득하더라도 실시간으로 발송되는 OTP 코드나 푸시 승인을 추가로 획득해야 하기 때문이다. 또한 사용자 입장에서는 복잡한 패스워드 관리 부담에서 벗어나 편리하게 시스템 접근 제어를 이용할 수 있다는 장점이 있다.

그러나 SMS 기반 인증은 심밴딩이나 SMS 피싱과 같은 전화망 기반 공격에 취약할 수 있으며, 휴대전화 자체를 분실했을 때의 위험도 존재한다. 앱 푸시 인증은 상대적으로 보안성이 높지만, 사용자가 푸시 알림을 무심코 승인하는 경우를 방지하기 위한 추가적인 확인 절차가 필요할 수 있다. 이러한 방식들은 FIDO나 WebAuthn과 같은 보다 강력한 표준과 비교할 때 2차 인증 수단으로서, 또는 패스워드리스 전환의 과도기적 솔루션으로 널리 활용되고 있다.

생체 인증은 사용자의 고유한 생물학적 또는 행동학적 특성을 이용하여 인증을 수행하는 방식이다. 이는 패스워드리스 인증의 대표적인 구현 방법 중 하나로, 사용자가 암호를 기억하거나 입력할 필요 없이 자신의 신체 일부나 행동 패턴으로 시스템 접근 제어를 할 수 있게 한다.

주로 활용되는 생체 정보에는 지문 인식, 얼굴 인식, 홍채 인식, 음성 인식 등이 있다. 또한 사용자의 타자 입력 속도나 마우스 움직임 패턴과 같은 행동 생체 인증 기술도 연구되고 있다. 이러한 방식은 스마트폰이나 노트북과 같은 개인 기기에 내장된 센서를 통해 쉽게 적용될 수 있다.

생체 인증은 FIDO(Fast IDentity Online) 표준 및 WebAuthn 프로토콜과 결합되어 널리 사용된다. 예를 들어, 사용자가 웹사이트에 로그인할 때 비밀번호 대신 지문이나 얼굴 인식을 통해 인증을 완료하는 방식이다. 이는 서버에 사용자의 생체 정보 원본이 저장되지 않고, 단말기에서 생성된 암호키 쌍을 이용하기 때문에 보안성이 높다.

이 방식은 사용자에게 높은 편의성을 제공하며, 피싱이나 키로거와 같은 전통적인 공격에 강한 저항력을 보인다. 그러나 생체 정보는 본질적으로 변경이 불가능하다는 점에서 유출 시 심각한 위험을 초래할 수 있으며, 환경적 요인이나 사용자의 신체 상태 변화에 따라 인식 실패가 발생할 수 있는 한계도 존재한다.

하드웨어 토큰은 패스워드리스 인증을 구현하는 핵심 수단 중 하나로, 사용자가 소유한 물리적 장치를 통해 신원을 증명하는 방식이다. 대표적으로 FIDO 보안 키나 원타임 패스워드(OTP) 생성기가 이에 해당하며, 스마트폰이나 태블릿도 FIDO2 표준을 지원하는 경우 하드웨어 토큰 역할을 할 수 있다. 이 방식은 사용자가 암호를 직접 입력하거나 기억할 필요 없이, 토큰 장치 자체의 암호화 기능을 이용해 안전한 인증을 수행한다.

하드웨어 토큰의 작동 방식은 크게 두 가지로 나눌 수 있다. 첫째는 FIDO/WebAuthn 기반의 공개 키 암호 방식을 사용하는 보안 키로, 등록 단계에서 장치 내에 개인키를 생성·보관하고, 로그인 시 해당 키로 서명을 생성해 서버에 제출한다. 둘째는 시간 동기화 방식(TOTP)이나 이벤트 기반 방식(HOTP)의 OTP 토큰으로, 장치가 주기적으로 변하는 일회용 숫자 코드를 생성하여 사용자가 입력하는 방식이다.

이 방식의 가장 큰 장점은 높은 수준의 보안성을 제공한다는 점이다. 인증에 필요한 비밀키가 물리적 장치 내부에 안전하게 보관되어 피싱이나 키로거 공격에 매우 강하며, 토큰 자체를 분실하지 않는 한 제3자가 무단으로 접근하기 어렵다. 또한, 복잡한 암호를 기억할 필요가 없어 사용자 편의성도 함께 개선된다.

하지만 하드웨어 토큰은 사용자가 반드시 물리적 장치를 휴대해야 한다는 점과, 토큰을 분실하거나 손상될 경우 접근이 어려워질 수 있다는 단점이 있다. 또한, FIDO 보안 키와 같은 고급 토큰은 추가 비용이 발생할 수 있으며, 모든 온라인 서비스가 이를 지원하는 것은 아니다. 따라서 많은 시스템에서는 하드웨어 토큰을 다중 인증(MFA)의 한 요소로 활용하거나, 스마트폰 기반의 패스키 등 대체 수단과 함께 제공하는 경우가 많다.

패스워드리스 인증의 가장 큰 장점은 사용자가 기억해야 할 암호의 수를 크게 줄여준다는 점이다. 이는 사용자의 암호 관리 부담과 암호 분실 위험을 동시에 감소시킨다. 더 이상 복잡한 암호를 외우거나 비밀번호 관리자에 의존할 필요가 없어지며, 동일한 암호의 재사용으로 인한 보안 취약점 문제도 근본적으로 해결된다.

보안성 측면에서는 피싱 공격에 대한 저항력이 현저히 향상된다는 강점이 있다. FIDO 표준 기반의 패스키나 하드웨어 보안 키를 사용하는 경우, 인증 요청이 정확히 등록된 웹사이트나 애플리케이션에서 발생했는지 암호학적으로 검증하기 때문에, 가짜 사이트로 유도하여 암호를 탈취하는 전통적인 피싱 공격이 통하지 않게 된다.

사용자 편의성 증대 또한 핵심 장점이다. 생체 인증을 활용하면 지문이나 얼굴 인식과 같이 본인에게 자연스러운 방식으로 빠르게 로그인할 수 있으며, 매직 링크나 SMS 기반 원타임 패스워드는 추가적인 애플리케이션 설치 없이 이메일이나 휴대폰만으로 간편한 접근을 가능하게 한다. 이는 로그인 과정에서의 사용자 마찰을 줄여 전반적인 사용자 경험을 개선한다.

마지막으로, 관리자 입장에서도 암호와 관련된 운영 부담이 줄어든다는 이점이 있다. 암호 초기화 요청 처리, 암호 정책 강제, 암호 유출로 인한 사고 대응 등에 소모되던 리소스를 절약할 수 있으며, 더 강력한 인증 체계를 구축할 수 있다.

패스워드리스 인증은 여러 장점에도 불구하고 몇 가지 단점을 가지고 있다. 가장 큰 문제는 사용자에게 새로운 인증 수단이 필요하다는 점이다. FIDO 기반 패스키나 하드웨어 토큰을 사용하려면 사용자가 호환되는 스마트폰, 컴퓨터 또는 별도의 보안 장치를 소유하고 있어야 한다. 이는 기술 접근성이 낮은 사용자나 예산이 제한된 환경에서 진입 장벽으로 작용할 수 있다. 또한, 생체 인증의 경우 사용자의 지문이나 얼굴 정보와 같은 고유한 생체 정보가 등록되어야 하며, 이 정보가 유출될 경우 재발급이 불가능하다는 근본적인 위험도 존재한다.

기술적 의존성과 복구 문제도 중요한 단점이다. 인증의 핵심이 되는 주 장치(예: 스마트폰)를 분실하거나 고장 났을 경우, 사용자는 계정에 접근하는 대체 수단이 마련되어 있지 않으면 복구가 매우 어려워질 수 있다. 기존 패스워드 기반 시스템에서는 이메일을 통한 비밀번호 재설정 등 비교적 단순한 복구 경로가 제공되곤 했지만, 패스워드리스 환경에서는 사전에 설정한 백업 인증 방법이 필수적이다. 서비스 제공자 입장에서도 사용자 지원 부담이 증가할 수 있다.

마지막으로, 완전한 표준화와 호환성 문제가 남아있다. FIDO와 WebAuthn과 같은 표준이 확산되고 있지만, 모든 온라인 서비스와 애플리케이션이 동일한 수준으로 패스워드리스 인증을 지원하는 것은 아니다. 사용자는 여전히 일부 서비스에서는 패스워드를 사용하고, 다른 서비스에서는 패스키를 사용하는 등 혼합된 인증 환경에 놓일 수 있으며, 이는 오히려 사용자 경험을 복잡하게 만들 수 있다. 또한, 다양한 운영체제와 웹 브라우저 간의 호환성 차이도 완전히 해소되지 않은 과제로 남아있다.